オペレータは、システム プロパティの値の追加や変更ができます。

次の表に、システム プロパティの一部を記載します。オペレータは、これらのプロパティの値を設定できます。

表 1. アラート メール
システム プロパティ 説明
vco.alert.mail.to

アラートがトリガーされると、このシステム プロパティの [値 (Value)] フィールドに記載されているリストのメール アドレスに、すぐに通知が送信されます。複数の E メール ID をカンマ区切りで入力できます。

このプロパティに値が含まれていない場合、通知は送信されません。

この通知は、ユーザーに通知する前に、差し迫った問題のアラートを VMware サポート/運用担当者に送信することを目的としています。

vco.alert.mail.cc アラート メールがどのユーザーに送信される場合でも、このシステム プロパティの [値 (Value)] フィールドに記載されているメール アドレスにコピーが送信されます。複数の E メール ID をカンマ区切りで入力できます。
mail.* アラート メールを制御するために使用できるシステム プロパティは複数あります。SMTP プロパティ、ユーザー名、パスワードなどの E メール パラメータを定義できます。
表 2. アラート
システム プロパティ 説明
vco.alert.enable オペレータとエンタープライズ ユーザーの両方のアラート生成をグローバルに有効または無効にします。
vco.enterprise.alert.enable エンタープライズ ユーザーのアラート生成をグローバルに有効または無効にします。
vco.operator.alert.enable オペレータのアラート生成をグローバルに有効または無効にします。
表 3. 認証局
システム プロパティ 説明
edge.certificate.renewal.window このオプションのシステム プロパティにより、オペレータは、Edge 証明書の更新が有効となる 1 つ以上のメンテナンス期間を定義できます。メンテナンス期間外で更新がスケジュールされている証明書は、現在の時刻が有効な期間内になるまで延期されます。

システム プロパティを有効にする:

このシステム プロパティを有効にするには、[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で「enabled」に「true」と入力します。このシステム プロパティが有効になっているときの最初の部分の例を次に示します。

オペレーターは、Edge の更新が有効になる日と時間を制限するために、複数の期間を定義できます。各期間は、曜日または曜日のリスト(コンマ区切り)、および開始時刻と終了時刻を指定して定義できます。開始時刻と終了時刻は、Edge のローカル タイム ゾーン、または UTC を基準に指定できます。例については、次の図を参照してください。

注: 属性が存在しない場合は、デフォルトで「false」が有効になります。
期間の属性を定義するときは、以下に従います。
  • PDT または PST ではなく IANA タイム ゾーンを使用します(例:America/Los_Angeles)。詳細については、https://en.wikipedia.org/wiki/List_of_tz_database_time_zonesを参照してください。
  • 曜日には UTC を使用します(例:SAT、SUN)。
    • コンマで区切ります。
    • 曜日は英字 3 文字です。
    • 大文字と小文字は区別されません。
  • 開始時刻(例:01:30)や終了時刻(例:05:30)には、ミリタリータイムの 24 時間形式 (HH: MM) のみを使用します。

上記の値が指定されていない場合、各期間定義の属性のデフォルト値は次のようになります。

  • 「enabled」を指定しない場合、デフォルト値は「false」になります。
  • 「timezone」を指定しない場合、デフォルト値は「local」になります。
  • [days] または終了および開始時刻のいずれかを指定しない場合、デフォルトは次のようになります。
    • [days] を指定しない場合、開始/終了は各曜日(「mon」、「tue」、「wed」、「thu」、「fri」、「sat」、「sun」)に適用されます。
    • 終了および開始時刻のいずれかを指定しない場合、指定した日の任意の時間が一致します(開始時刻は「00:00」で終了時刻は「23:59」)。
    • 注:[days] または終了および開始時刻のいずれかが存在する必要があります。ただし、指定しない場合は、デフォルトで上記のようになります。

システム プロパティを無効にする:

このシステム プロパティはデフォルトで無効になっています。これは、有効期限が切れると証明書が自動的に更新されることを意味します。[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で、[enabled]が「false」に設定されます。このプロパティを無効にした場合の例を次に示します。

{

"enabled": false,

"windows": [

{

注:このシステム プロパティを使用するには、公開鍵基盤 (PKI) を有効にする必要があります。

gateway.certificate.renewal.window このオプションのシステム プロパティにより、オペレータは、ゲートウェイ証明書の更新が有効な 1 つ以上のメンテナンス期間を定義できます。メンテナンス期間外で更新がスケジュールされている証明書は、現在の時刻が有効な期間内になるまで延期されます。

システム プロパティを有効にする:

このシステム プロパティを有効にするには、[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で「enabled」に「true」と入力します。例については、次の図を参照してください。

オペレーターは、Edge の更新が有効になる日と時間を制限するために、複数の期間を定義できます。各期間は、曜日、または曜日のリスト(コンマ区切り)、および開始時刻と終了時刻を指定して定義できます。開始時刻と終了時刻は、Edge のローカル タイム ゾーン、または UTC を基準に指定できます。例については、次の図を参照してください。

注: 属性が存在しない場合は、デフォルトで「false」が有効になります。
期間の属性を定義するときは、以下に従います。
  • PDT または PST ではなく IANA タイム ゾーンを使用します(例:America/Los_Angeles)。詳細については、https://en.wikipedia.org/wiki/List_of_tz_database_time_zonesを参照してください。
  • 曜日には UTC を使用します(例:SAT、SUN)。
    • コンマで区切ります。
    • 曜日は英字 3 文字です。
    • 大文字と小文字は区別されません。
  • 開始時刻(例:01:30)や終了時刻(例:05:30)には、ミリタリータイムの 24 時間形式 (HH: MM) のみを使用します。

上記の値が指定されていない場合、各期間定義の属性のデフォルト値は次のようになります。

  • 「enabled」を指定しない場合、デフォルト値は「false」になります。
  • 「timezone」を指定しない場合、デフォルト値は「local」になります。
  • [days] または終了および開始時刻のいずれかを指定しない場合、デフォルトは次のようになります。
    • [days] を指定しない場合、開始/終了は各曜日(「mon」、「tue」、「wed」、「thu」、「fri」、「sat」、「sun」)に適用されます。
    • 終了および開始時刻のいずれかを指定しない場合、指定した日の任意の時間が一致します(開始時刻は「00:00」で終了時刻は「23:59」)。
    • 注:[days] または(終了および開始)のいずれかが存在する必要があります。ただし、指定しない場合は、デフォルトで上記のようになります。

システム プロパティを無効にする:

このシステム プロパティはデフォルトで無効になっています。これは、有効期限が切れると証明書が自動的に更新されることを意味します。[システム プロパティの変更 (Modify System Property)] ダイアログ ボックスの [値 (Value)] テキスト領域の最初の部分で、[enabled] が「false」に設定されます。このプロパティを無効にした場合の例を次に示します。

{

"enabled": false,

"windows": [

{

注:このシステム プロパティを使用するには、公開鍵基盤 (PKI) を有効にする必要があります。

表 4. データ保持
システム プロパティ 説明
retention.highResFlows.days このシステム プロパティにより、オペレータは、高解像度のフロー統計情報のデータ保持を 1 ~ 90 日の間で設定できます。
retention.lowResFlows.months このシステム プロパティにより、オペレータは、低解像度のフロー統計情報のデータ保持を 1 ~ 365 日の間で設定できます。
session.options.maxFlowstatsRetentionDays このプロパティにより、オペレータは 2 週間を超えるフロー統計情報のデータをクエリできます。
表 5. Edge
システム プロパティ 説明
edge.offline.limit.sec 指定の期間に Edge からのハートビートが Orchestrator で検出されない場合、Edge の状態は OFFLINE モードに移行されます。
edge.link.unstable.limit.sec 指定の期間にリンクのリンク統計情報が Orchestrator で受信されない場合、リンクは UNSTABLE モードに移行されます。
edge.link.disconnected.limit.sec 指定の期間にリンクのリンク統計情報が Orchestrator で受信されない場合、リンクは切断されます。
edge.deadbeat.limit.days 指定した日数の間 Edge がアクティブでない場合、Edge はアラートの生成で考慮されません。
vco.operator.alert.edgeLinkEvent.enable Edge Link イベントのオペレータ アラートをグローバルに有効または無効にします。
vco.operator.alert.edgeLiveness.enable Edge Liveness イベントのオペレータ アラートをグローバルに有効または無効にします。
表 6. Edge アクティベーション
システム プロパティ 説明
edge.activation.key.encode.enable Edge のアクティベーション メールがサイトの連絡先に送信されるときに、Base64 はアクティベーション URL パラメータを不明瞭な値にエンコードします。
edge.activation.trustedIssuerReset.enable Orchestrator 認証局のみが含まれるように、Edge の信頼されている証明書発行者リストをリセットします。Edge からのすべての TLS トラフィックは、新しい発行者リストによって制限されます。
network.public.certificate.issuer [edge.activation.trustedIssuerReset.enable] が True に設定されている場合、[network.public.certificate.issuer] の値を Orchestrator サーバ証明書の発行者の PEM エンコーディングと等しくなるように設定します。これにより、Orchestrator 認証局に加えて、サーバ証明書の発行者が Edge の信頼された発行者に追加されます。
表 7. 監視
システム プロパティ 説明
vco.monitor.enable エンタープライズおよびオペレータ エンティティの状態の監視をグローバルに有効または無効にします。値を [False] に設定すると、SD-WAN Orchestrator ではエンティティの状態を変更したりアラートをトリガーしたりすることができなくなります。
vco.enterprise.monitor.enable エンタープライズ エンティティの状態の監視をグローバルに有効または無効にします。
vco.operator.monitor.enable オペレータ エンティティの状態の監視をグローバルに有効または無効にします。
表 8. 通知
システム プロパティ 説明
vco.notification.enable オペレータとエンタープライズの両方へのアラート通知の配信をグローバルに有効または無効にします。
vco.enterprise.notification.enable エンタープライズへのアラート通知の配信をグローバルに有効または無効にします。
vco.operator.notification.enable オペレータへのアラート通知の配信をグローバルに有効または無効にします。
表 9. パスワードのリセットとロックアウト
システム プロパティ 説明
vco.enterprise.resetPassword.token.expirySeconds エンタープライズ ユーザーのパスワード リセット リンクの有効期限が切れるまでの期間。
vco.enterprise.authentication.passwordPolicy

エンタープライズ ユーザーのパスワード有効期限とパスワード履歴ポリシーを定義します。

[値 (Value)] フィールドで JSON テンプレートを編集して、次の項目を定義します。

[expiry]
  • [enable]:これを [true] に設定して、エンタープライズ ユーザー パスワードの自動的な有効期限切れを有効にします。
  • [days]:エンタープライズ パスワードを使用する日数を入力します。これを過ぎると、有効期限が強制的に切れます。
[history]
  • [enable]:これを [true] に設定して、エンタープライズ ユーザーのこれまでのパスワードの記録を有効にします。
  • [count]:履歴に保存するこれまでのパスワードの数を入力します。エンタープライズ ユーザーがパスワードを変更しようとしても、システムでは履歴にすでに保存されているパスワードの入力をユーザーに許可しません。
enterprise.user.lockout.defaultAttempts エンタープライズ ユーザーがログインを試行できる回数。ログインを指定の回数失敗すると、アカウントはロックされます。
enterprise.user.lockout.defaultDurationSeconds エンタープライズ ユーザー アカウントがロックされる期間。
enterprise.user.lockout.enabled エンタープライズのログイン失敗のロックアウト オプションを有効または無効にします。
vco.operator.resetPassword.token.expirySeconds オペレータ ユーザーのパスワード リセット リンクが期限切れになるまでの期間。
vco.operator.authentication.passwordPolicy

オペレータ ユーザーのパスワード有効期限とパスワード履歴ポリシーを定義します。

[値 (Value)] フィールドで JSON テンプレートを編集して、次の項目を定義します。

[expiry]
  • [enable]:これを [true] に設定して、オペレータ ユーザー パスワードの自動的な有効期限切れを有効にします。
  • [days]:オペレータ パスワードを使用する日数を入力します。これを過ぎると、有効期限が強制的に切れます。
[history]
  • [enable]:これを [true] に設定して、オペレータ ユーザーのこれまでのパスワードの記録を有効にします。
  • [count]:履歴に保存するこれまでのパスワードの数を入力します。オペレータ ユーザーがパスワードを変更しようとしても、システムでは履歴にすでに保存されているパスワードの入力をユーザーに許可しません。
operator.user.lockout.defaultAttempts オペレータ ユーザーがログインを試行できる回数。ログインを指定の回数失敗すると、アカウントはロックされます。
operator.user.lockout.defaultDurationSeconds オペレータ ユーザー アカウントがロックされる期間。
operator.user.lockout.enabled オペレータのログイン失敗のロックアウト オプションを有効または無効にします。
表 10. API のレート制限
システム プロパティ 説明
vco.api.rateLimit.enabled オペレータ スーパー ユーザーがシステム レベルでレート制限機能を有効または無効にできるようにします。デフォルトでは、値は「[False]」です。
注: レートリミッタは完全には有効化されていません。つまり、 [vco.api.rateLimit.mode.logOnly] 設定が無効にされていない限り、構成された制限を超える API リクエストを拒否しません。
vco.api.rateLimit.mode.logOnly

オペレータ スーパー ユーザーが [LOG_ONLY] モードでレート制限を使用できるようにします。値が [True] に設定され、レート制限を超えると、このオプションはエラーのみを記録し、それぞれのメトリックを起動して、クライアントがレート制限なしで要求を実行することを許可します。

値が [False] に設定されている場合、要求 API が定義されたポリシーによって制限され、HTTP 429 が返されます。

vco.api.rateLimit.rules.global

JSON 配列で、レートリミッタによって使用されるグローバルに適用可能なポリシーのセットを定義できます。デフォルトでは、値は空の配列です。

各タイプのユーザー(オペレータ、パートナー、および顧客)は、5 秒ごとに最大 500 の要求を実行できます。要求の数は、レート制限された要求の動作パターンに基づいて変更される場合があります。

JSON 配列は次のパラメータで構成されます。

[Types]:type オブジェクトは、レート制限が適用されるさまざまなコンテキストを表します。使用可能な type オブジェクトは次のとおりです。
  • [SYSTEM]:すべてのユーザーによって共有されるグローバル制限を指定します。
  • [OPERATOR_USER]:すべてのオペレータ ユーザーについて一般に設定できる制限。
  • [ENTERPRISE_USER]:すべてのエンタープライズ ユーザーについて一般に設定できる制限。
  • [MSP_USER]:すべての MSP ユーザーについて一般に設定できる制限。
  • [ENTERPRISE]:エンタープライズのすべてのユーザー間で共有でき、ネットワーク内のすべてのエンタープライズに適用できる制限。
  • [PROXY]:プロキシのすべてのユーザー間で共有でき、すべてのプロキシに適用できる制限。
[Policies]:ルールをポリシーに追加して、ルールに一致する要求を適用します。次のパラメータを構成します。
  • [Match]:一致する要求のタイプを入力します。
    • [All]:type オブジェクトのいずれかに一致するすべての要求をレート制限します。
    • [METHOD]:指定されたメソッド名に一致するすべての要求をレート制限します。
    • [METHOD_PREFIX]:指定されたメソッド グループに一致するすべての要求をレート制限します。
  • [Rules]:次のパラメータの値を入力します。
    • [maxConcurrent]:同時に実行できるジョブの数。
    • [reservoir]:リミッタがジョブの実行を停止するまでに実行できるジョブ数。
    • [reservoirRefreshAmount][reservoirRefreshInterval] を使用しているときにリザーバに設定する値。
    • [reservoirRefreshInterval][reservoirRefreshInterval] のミリ秒ごとに [reservoir] 値が自動的に [reservoirRefreshAmount] の値に更新されます。[reservoirRefreshInterval] の値は、250(クラスタリングの場合は 5000)の倍数にする必要があります。

[Enabled]:各タイプの制限を有効または無効にするには [APIRateLimiterTypeObject][enabled] キーを含めます。デフォルトでは、キーが含まれていない場合でも、[enabled] の値は「True」になります。個々のタイプの制限を無効にするには、["enabled": false] キーを含める必要があります。

次の例は、デフォルト値の JSON ファイルのサンプルを示しています。

[
    {
        "type": "OPERATOR_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "MSP_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    },
    {
        "type": "ENTERPRISE_USER",
        "policies": [
            {
                "match": {
                    "type": "ALL"
                },
                "rules": {
                    "reservoir": 500,
                    "reservoirRefreshAmount": 500,
                    "reservoirRefreshInterval": 5000
                }
            }
        ]
    }
]
注: 構成パラメータのデフォルト値を変更しないことをお勧めします。
vco.api.rateLimit.rules.enterprise.default 新しく作成されたユーザーに適用されるエンタープライズ固有のポリシーのデフォルト セットを構成します。ユーザー固有のプロパティは、エンタープライズ プロパティ [vco.api.rateLimit.rules.enterprise] に保存されます。
vco.api.rateLimit.rules.enterpriseProxy.default 新しく作成されたパートナーに適用されるエンタープライズ固有のポリシーのデフォルト セットを構成します。パートナー固有のプロパティは、エンタープライズ プロパティ [vco.api.rateLimit.rules.enterpriseProxy] に保存されます。

レート制限の詳細については、API 要求のレート制限を参照してください。

表 11. リモート診断
システム プロパティ 説明
network.public.address SD-WAN Orchestrator ユーザー インターフェイスにアクセスするために使用されるブラウザ オリジン アドレス/DNS ホスト名を指定します。
network.portal.websocket.address ブラウザのアドレスが network.public.address システム プロパティの値と一致していない場合、ブラウザから SD-WAN Orchestrator ユーザー インターフェイスにアクセスする代替の DNS ホスト名/アドレスを設定できます。

リモート診断で WebSocket 接続が使用されるようになったため、Web セキュリティを確保するために、Orchestrator ユーザー インターフェイスへのアクセスに使用されるブラウザ オリジン アドレスが、受信要求に対して検証されます。ほとんどの場合、このアドレスは network.public.address システム プロパティと同じです。まれに、network.public.address システム プロパティに設定されている値とは異なる別の DNS ホスト名/アドレスを使用して Orchestrator ユーザー インターフェイスにアクセスできることがあります。このような場合は、このシステム プロパティを代替の DNS ホスト名/アドレスに設定できます。デフォルトでは、この値は設定されていません。

session.options.websocket.portal.idle.timeout アイドル状態のブラウザ WebSocket 接続がアクティブを維持する合計時間(秒単位)を設定できます。デフォルトでは、ブラウザの WebSocket 接続はアイドル状態で 300 秒間アクティブです。
表 12. セルフサービス パスワード リセット
システム プロパティ 説明
vco.enterprise.resetPassword.twoFactor.mode すべてのエンタープライズ ユーザーのパスワード リセット認証の第 2 レベルのモードを定義します。現在、SMS モードのみがサポートされています。
vco.enterprise.resetPassword.twoFactor.required エンタープライズ ユーザーのパスワード リセットの 2 要素認証を有効または無効にします。
vco.enterprise.selfResetPassword.enabled エンタープライズ ユーザーのセルフサービス パスワード リセットを有効または無効にします。
vco.enterprise.selfResetPassword.token.expirySeconds エンタープライズ ユーザーのセルフサービス パスワード リセット リンクの有効期限が切れるまでの期間。
vco.operator.resetPassword.twoFactor.required オペレータ ユーザーのパスワード リセットの 2 要素認証を有効または無効にします。
vco.operator.selfResetPassword.enabled オペレータ ユーザーのセルフサービス パスワード リセットを有効または無効にします。
vco.operator.selfResetPassword.token.expirySeconds オペレータ ユーザーのセルフサービス パスワード リセット リンクの有効期限が切れるまでの期間。
表 13. 2 要素認証
システム プロパティ 説明
vco.enterprise.authentication.twoFactor.enable エンタープライズ ユーザーの 2 要素認証を有効または無効にします。
vco.enterprise.authentication.twoFactor.mode エンタープライズ ユーザーの第 2 レベルの認証モードを定義します。現在、第 2 レベルの認証モードとして、SMS のみがサポートされています。
vco.enterprise.authentication.twoFactor.require エンタープライズ ユーザーに対する 2 要素認証を必須と定義します。
vco.operator.authentication.twoFactor.enable オペレータ ユーザーの 2 要素認証を有効または無効にします。
vco.operator.authentication.twoFactor.mode オペレータ ユーザーの第 2 レベルの認証モードを定義します。現在、第 2 レベルの認証モードとして、SMS のみがサポートされています。
vco.operator.authentication.twoFactor.require オペレータ ユーザーに対する 2 要素認証を必須と定義します。
表 14. 仮想ネットワーク機能 (VNF) の構成
システム プロパティ 説明
edge.vnf.extraImageInfos 仮想ネットワーク機能 (VNF) イメージのプロパティを定義します。
[値 (Value)] フィールドに、仮想ネットワーク機能 (VNF) イメージに関する次の情報を JSON 形式で入力できます。
[
  {
    "vendor": "Vendor Name",
    "version": "VNF Image Version",
    "checksum": "VNF Checksum Value",
    "checksumType": "VNF Checksum Type"
  }
]
Check Point ファイアウォール イメージの JSON ファイルの例:
[
  {
    "vendor": "checkPoint",
    "version": "r80.40_no_workaround_46",
    "checksum": "bc9b06376cdbf210cad8202d728f1602b79cfd7d",
    "checksumType": "sha-1"
  }
]
Fortinet ファイアウォール イメージの JSON ファイルの例:
[
   {
      "vendor": "fortinet",
      "version": "624",
      "checksum": "6d9e2939b8a4a02de499528c745d76bf75f9821f",
      "checksumType": "sha-1"
   }
]
edge.vnf.metric.record.limit データベースに格納されるレコードの数を定義します。
enterprise.capability.edgeVnfs.enable サポートされている Edge モデルで仮想ネットワーク機能 (VNF) のデプロイを有効にします。
enterprise.capability.edgeVnfs.securityVnf.checkPoint Check Point Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします
enterprise.capability.edgeVnfs.securityVnf.fortinet Fortinet Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします
enterprise.capability.edgeVnfs.securityVnf.paloAlto Palo Alto Networks ファイアウォールの仮想ネットワーク機能 (VNF) を有効にします
session.options.enableVnf 仮想ネットワーク機能 (VNF) を有効にします
vco.operator.alert.edgeVnfEvent.enable Edge の仮想ネットワーク機能 (VNF) イベントのオペレータ アラートをグローバルに有効または無効にします。
vco.operator.alert.edgeVnfInsertionEvent.enable Edge の仮想ネットワーク機能 (VNF) 挿入イベントのオペレータ アラートをグローバルに有効または無効にします。
表 15. VPN
システム プロパティ 説明
vpn.disconnect.wait.sec システムが VPN トンネルを切断するまで待機する時間間隔。
vpn.reconnect.wait.sec システムが VPN トンネルを再接続するまで待機する時間間隔。